Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
1. El 07 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que
La firma de seguridad Intezer Labs, informó que halló una operación encubierta de malware de un año de duración en
la que los ciberdelincuentes crearon aplicaciones falsas de criptocorriente para engañar a los usuarios para que
instalaran un nuevo tipo de malware en sus sistemas, con el obvio objetivo final de robar los fondos de las víctimas.
2. La campaña fue descubierta en diciembre de 2020, pero los investigadores dijeron que creen que el grupo comenzó a
difundir su malware ya el 8 de enero de 2020"Microsoft Defender para Identity puede detectar esta vulnerabilidad
desde el principio", dijo el gerente de programas de Microsoft, Daniel Naim. "Cubre tanto los aspectos de explotación
como la inspección del tráfico del canal Netlogon".
3. Intezer Labs dijo que los delincuentes confiaban en tres aplicaciones relacionadas con la criptografía para su esquema,
llamadas Jamm, eTrade/Kintum y DaoPoker, y estaban alojadas en sitios web dedicados a jamm[.]to, kintum[.]io y
daopker[.]com, respectivamente.
4. Las dos primeras, afirmaban proporcionar una plataforma sencilla para comerciar con criptodólares, mientras que la
tercera era una aplicación de póquer con criptodólares. Las tres aplicaciones venían en versiones para Windows, Mac
y Linux, y se construyeron sobre Electrón, un marco de construcción de aplicaciones.
5. Pero los investigadores de Intezer aseveraron que las aplicaciones también vinieron con una pequeña sorpresa en
forma de una nueva cepa de malware que estaba escondida dentro, que los investigadores de la compañía llamaron
ElectroRAT.
6. Se recomienda:
• Los usuarios de criptocodificación que hayan perdido fondos durante el último año pero que no hayan identificado
la fuente de su incumplimiento deberían comprobar si han descargado e instalado alguna de las tres aplicaciones
mencionadas en este artículo.
• Verificar la fuente de las aplicaciones instaladas en los ordenadores y dispositivos electrónicos.
hxxps://www.ciberseguridadlatam.com/2021/01/06/piratas-informaticos-se-dirigen-a-
Fuentes de información
usuarios-de-criptografia-con-el-nuevo-malware-electrorat/
1. El 7 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de
una nueva campaña de envío de correos de electrónicos fraudulentos con el asunto "BUENA OFERTA DE PRÉSTAMO"
que contiene un archivo adjunto con extensión Java (JAR) llamado "TRUMP_SEX_SCANDAL_VIDEO.jar". Al descargar el
archivo infecta al equipo con un nuevo troyano de acceso remoto (RAT) denominado “QNode” dirigido al sistema
operativo Windows, con la finalidad de obtener información del sistema, realización de operaciones de archivos y la
adquisición de credenciales de aplicaciones como Google Chrome, Firefox, Thunderbird y Microsoft Outlook.
2. Este troyano configura la plataforma Node.Js en el sistema, luego descarga y ejecuta un descargador de segunda etapa
llamado "wizard.js" que es responsable de lograr la persistencia y obtener y ejecutar el Qnode RAT ("qnode-win32-
ia32. js ") desde un servidor controlado por un atacante.
3. Recomendaciones:
• Evitar descargar y abrir archivos de fuentes de dudosa procedencia.
• Realizar copias de seguridad periódicas en los equipos.
• Mantener el conocimiento de las últimas amenazas y zonas vulnerables de la organización.
• Mantener los equipos protegidos, con el software actualizado.
Nombre: eTrader-0.1.0_mchos.dmg
MD5: 7f79956a5c3a67e473d602be45841ae6
SHA-1: 2795ca35847cecb543f713b773d87c089a6a38ba
SHA-256:5c884be3635eb55ce02e141d6fb07f760b6dbcace54f2217c69f287292ce59f6
Nombre: .mdworker
MD5: d07d48d0571f6b7cbfe1771beecf3ba4
SHA-1: 6f80dabc3c72044faafcd463f822febd75aabdda
SHA-256: 17b0b1a9271683f30e5bfd92eec9c0a917755f54060ef40d9bd0f12e927f540f
Nombre: .mdworker
MD5: 2c35bfabc6f441a90c8cc584e834eb59
SHA-1: 9d2351ec8f0f9b833641b325874cec4c40966dbf
SHA-256: 2ad12f75695ec4f63d7b35a79d118d7ed2eccc42f9cfa8fb75ec738f86f6ab99
3. Recomendaciones:
• Finalice el proceso y elimine todos los archivos relacionados con el malware.
• Asegúrese de que su máquina esté limpia y ejecutando un código 100% confiable utilizando herramientas oficiales.
• Mueva sus fondos a una nueva billetera.
• Cambie todas sus contraseñas
hxxps://www.bleepingcomputer.com/news/security/cross-platform-electrorat-malware-
Fuentes de información
drains-cryptocurrency-wallets/
Índice alfabético